انتشار برمجية SocGholish الخبيثة عبر أدوات الإعلانات؛ تتيح الوصول إلى LockBit و Evil Corp وغيرها
مايسترو نيرو - قسم التهديدات السيبرانية
تم رصد الفاعلين الخبيثين وراء برمجية SocGholish يستخدمون أنظمة توزيع الحركة (TDSs) مثل Parrot TDS و Keitaro TDS لتصفية وإعادة توجيه المستخدمين غير المدركين إلى محتوى مشبوه.
"جوهر عملية التشغيل هو نموذج متطور لبرمجيات الخبيث كخدمة (MaaS)، حيث يتم بيع الأنظمة المصابة كنقاط وصول أولية لمنظمات إجرامية سيبرانية أخرى"، كما ذكرت Silent Push في تحليلها.
تفاصيل البرمجية الخبيثة:
تُعرف SocGholish أيضاً باسم FakeUpdates، وهي برمجية تحميل مكتوبة بـ JavaScript تُوزع عبر مواقع ويب مخترقة تنتحل صفة تحديثات مضللة لمتصفحات الويب مثل Google Chrome أو Mozilla Firefox، وكذلك برامج أخرى مثل Adobe Flash Player أو Microsoft Teams. تُنسب إلى فاعل خبيث يُسمى TA569، والذي يُعرف أيضاً باسم Gold Prelude، Mustard Tempest، Purple Vallhund، و UNC1543.
تتضمن سلاسل الهجمات نشر SocGholish لإقامة وصول أولي وبيع ذلك الوصول إلى نظام مخترق لعملاء متنوعين، بما في ذلك Evil Corp (المعروف أيضاً بـ DEV-0243)، LockBit، Dridex، و Raspberry Robin (المعروف بـ Roshtyak). بشكل مثير للاهتمام، استخدمت الحملات الأخيرة Raspberry Robin كمتجه توزيع لـ SocGholish.
"تبدأ إصابات SocGholish عادة من مواقع ويب مخترقة تم اختراقها بعدة طرق مختلفة"، كما ذكرت Silent Push. "يمكن أن تتضمن إصابات المواقع حقن مباشرة، حيث يقوم تحميل SocGholish بحقن JS مباشرة من صفحة ويب مخترقة أو عبر نسخة من الحقن المباشر تستخدم ملف JS وسيط لتحميل الحقن المتعلق."
آليات التوزيع:
إضافة إلى إعادة التوجيه إلى نطاقات SocGholish عبر مواقع ويب مخترقة، يشكل مصدر آخر رئيسي للحركة استخدام أنظمة TDS التابعة لجهات خارجية مثل Parrot TDS و Keitaro TDS لتوجيه حركة الويب إلى مواقع محددة أو صفحات هبوط بعد إجراء بصمة موسعة لزائر الموقع وتحديد ما إذا كان مهتماً بناءً على معايير محددة مسبقاً.
لقد شارك Keitaro TDS منذ فترة طويلة في أنشطة تهديدية تتجاوز الإعلانات الخبيثة والنصب لتقديم برمجيات خبيثة أكثر تعقيداً، بما في ذلك مجموعات الاستغلال، والمحملات، والبرمجيات الفدية، وعمليات التأثير الروسية. في العام الماضي، كشفت Infoblox كيف استخدم SocGholish، شريك VexTrio، Keitaro لإعادة توجيه الضحايا إلى TDSes الخاصة بـ VexTrio.
"نظراً لوجود العديد من التطبيقات المشروعة لـ Keitaro، غالباً ما يكون من الصعب أو المستحيل ببساطة حظر حركة المرور من خلال الخدمة دون توليد إيجابيات كاذبة مفرطة، رغم أن المؤسسات يمكن أن تأخذ هذا في اعتبارها في سياساتها الخاصة"، كما لاحظت Proofpoint في عام 2019.
البنية التحتية للتحكم:
يُعتقد أن Keitaro TDS مرتبط بـ TA2726، الذي عمل كمزود حركة لـ SocGholish و TA2727 من خلال اختراق مواقع ويب وحقن رابط Keitaro TDS، ثم بيع ذلك لعملائه.
"الإطار الوسيط للتحكم والأمر [C2] يولد حمولات ديناميكياً يقوم الضحايا بتنزيلها في وقت التشغيل"، كما لاحظت Silent Push.
"من الضروري ملاحظة أنه عبر إطار التنفيذ، من الحقن الأول لـ SocGholish إلى التنفيذ على الجهاز للزراعة Windows، يتم تتبع العملية بأكملها باستمرار من قبل إطار C2 الخاص بـ SocGholish. إذا قرر الإطار في أي وقت أن ضحية معينة ليست 'مشروعة'، فسيتوقف عن تقديم الحمولة."
تطورات أخرى:
كما قيّمت الشركة الأمنية أن هناك أعضاء سابقين قد يكونون متورطين في Dridex، Raspberry Robin، و SocGholish، بالنظر إلى الطبيعة المتداخلة للحملات الملاحظة.
يأتي هذا التطور بينما أوضحت Zscaler نسخة محدثة من Raspberry Robin تتميز بطرق تشويش محسنة، وتغييرات في عملية الاتصال الشبكي، وعناصر مضمنة تشير إلى نطاقات C2 لـ TOR متعمدة التلف، مما يدل على جهود مستمرة لتجنب الكشف وعرقلة جهود الهندسة العكسية.
"تغير خوارزمية التشفير الشبكي من AES (وضع CTR) إلى Chacha-20"، كما ذكرت الشركة. "أضاف Raspberry Robin استغلالاً جديداً لتصعيد الامتيازات المحلية (LPE) (CVE-2024-38196) للحصول على امتيازات مرتفعة على الأنظمة المستهدفة."
يأتي هذا الإفصاح بعد تطور هجمات DarkCloud Stealer التي تستخدم رسائل تصيد لتقديم نسخة محمية بـ ConfuserEx من حمولة السارق المكتوبة بلغة Visual Basic 6، والتي يتم إطلاقها وتنفيذها باستخدام تقنية تُسمى تجويف العملية.
"يُمثل DarkCloud Stealer نموذجاً نموذجياً لتطور التهديدات السيبرانية، حيث يستخدم تقنيات التشويش وهياكل حمولات معقدة لتجنب آليات الكشف التقليدية"، كما ذكرت Unit 42. "يشير التحول في طرق التسليم الملاحظ في أبريل 2025 إلى استراتيجية تطور في التهرب."
آخر تحديث: 7 أكتوبر 2025